Servizi postali: PosteItaliane resta titolare del trattamento anche in caso di appalto

PROVVEDIMENTO DEL 29APRILE 2009

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

IN DATA ODIERNA, in presenza del prof.Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti,e del dott. Filippo Patroni Griffi, segretario generale;

ESAMINATE, per i profili di competenza diquesta Autorità, le segnalazioni concernenti il trattamento di dati personalieffettuato nell'ambito dell'attività di recapito della corrispondenza e lerecenti notizie di stampa che hanno evidenziato taluni disservizi nel recapitodella corrispondenza, con particolare riferimento a quelli resi da PosteItaliane s.p.a., titolare della concessione per la fornitura del serviziouniversale;

VISTI gli elementi acquisiti a seguitodegli accertamenti effettuati;

VISTE le osservazioni formulate dalsegretario generale ai sensi dell'art. 15 del regolamento del Garante n.1/2000;

RELATORE il dott. Giuseppe Chiaravalloti;

PREMESSO

1.1. In numerose segnalazioni sono statiportati all'attenzione del Garante disservizi nell'espletamento dell'attivitàdi recapito della corrispondenza da parte di Poste Italiane s.p.a. (di recenteriferiti anche da notizie di stampa), con particolare riguardo ai seguentiprofili:

     consegna della corrispondenza aindirizzi o in cassette domiciliari erronee;

     abbandono, smarrimento odanneggiamento della posta (con conseguenti pericoli per l'integrità osottrazione della corrispondenza).

Al fine di verificare la liceità deitrattamenti effettuati sono stati acquisiti, a seguito di richieste diinformazioni rivolte alla società (in data 9 aprile 2008 e 29 gennaio 2009),elementi volti ad accertarne la conformità alla disciplina di protezione deidati personali, con particolare riferimento alla corretta designazione degliincaricati e di eventuali responsabili del trattamento e all'osservanza dellemisure di sicurezza (anche nella fase della distruzione della corrispondenzaper la quale non risulti possibile il recapito).

1.2. Non formano oggetto del presenteprovvedimento i profili relativi al puntuale assolvimento degli obblighi diservizio assunti dalla società in qualità di titolare della concessione per lafornitura del servizio universale, profili questi suscettibili di controllo daparte del Ministero delle comunicazioni in qualità di Autorità diregolamentazione del settore postale ai sensi degli artt. 2, 12 e 21, d.lg. 22luglio 1999, n. 261, Attuazione della direttiva 97/67/CE concernente regolecomuni per lo sviluppo del mercato interno dei servizi postali comunitari e peril miglioramento della qualità del servizio; analogamente, il presente provvedimento non si sofferma sui casi neiquali viene segnalata la consegna di corrispondenza con piego aperto omanomesso, dovendo tali fattispecie formare oggetto di valutazione in sedegiudiziaria con riguardo ad eventuali illeciti penali configurabili.

2. Dall'esame delle dichiarazioni resedalla società e dalla documentazione allegata non risultano allo stato profilidi violazione della disciplina di protezione dei dati personali in relazionealla designazione degli incaricati del trattamento e alle istruzioni aimedesimi impartite (anche nella forma della consegna individualizzata del "Manualeper l'operatore di recapito"),come pure in relazione alla redazione del documento programmatico dellasicurezza (v. nota 13 maggio 2008, rispettivamente all. 1 e 2). Anche inrelazione alle procedure per la distruzione della corrispondenza inesitata,dalla documentazione allegata non emergono profili di violazione rispetto alladisciplina di settore vigente (nota 13 maggio 2008, all. 8; art. 49 dellecondizioni generali di servizio approvate decreto 9 aprile 2001, Approvazionedelle condizioni generali del servizio postale e ora art. 25, decreto 1° ottobre 2008, Approvazionedelle condizioni generali per l'espletamento del servizio postale universale).

3.1. Considerazioni diverse (v. punto3.3.), invece, devono essere svolte in relazione al rapporto intercorrente traPoste italiane s.p.a. (la società) e distinti operatori ai quali vengonoaffidati taluni servizi di recapito della corrispondenza ("societàappaltatrici") in virtù dicontratti di appalto regolati da appositi "accordi quadro" aventi ad oggetto il "servizio didistribuzione e raccolta di corrispondenza e posta non indirizzata edespletamento dei servizi ausiliari" (v. nota 11 febbraio 2009, punto a) e all.ti 1, 2, 3 e 4).

In base a tali accordi, infatti,l'impresa appaltatrice è tenuta ad eseguire "tutte le attività relativealla fornitura del servizio […] conorganizzazione dei mezzi necessari e gestione a proprio rischio [essendo] unica responsabile della gestione delleproprie risorse utilizzate nell'appalto [esercitando in via esclusiva] il relativo potere direttivo,organizzativo, disciplinare"(cfr. art. 8.2 degli accordi quadro cit.); con riguardo ai profili diprotezione dei dati personali, l'art. 20 degli accordi quadro prevede che PosteItaliane e le società appaltatrici operano "in qualità di titolariautonomi nel pieno rispetto delle disposizioni di cui al D. Lgs. 196 del 30giugno 2003".

Tale qualità delle società appaltatrici(oltre che di Poste italiane) è stata confermata dalla società anche nelledichiarazioni rese al Garante (cfr. punto a) della nota 11 febbraio 2009 cit.).

3.2. Dalle risultanze istruttorie emerge,peraltro, che la società si riserva il potere di effettuare attività dicontrollo, anche ispettive, nei confronti delle società appaltatrici: inparticolare esercitando "il diritto di far accedere proprio personale opropri incaricati nei centri di consolidamento e di recapito e di esaminare idocumenti relativi al servizio"e facendo "effettuare controlli sulla regolarità e continuità delservizio, nonché verifiche sugli inconvenienti che emergono nell'esercizio dicompiti affidati [alla societàappaltatrice] impartendo, sentita[la società appaltatrice] indirizzi e direttive in proposito" (v. art. 5, all. n. 3 e art. 8 all. n. 4 alla nota11 febbraio 2009).

Tali poteri in capo alla società emergonoanche alla luce di ulteriore documentazione acquisita agli atti relativa allaprocedura organizzativa interna di Poste italiane (denominata "Controllie rilevazioni sulle attività affidate alle agenzie esterne": cfr. all. 5 alla nota 11 febbraio 2009), nellaquale sono descritti "i controlli giornalieri e a campione daeffettuare sulle attività svolte dalle agenzie risultate aggiudicatarie diappalti per la fornitura del servizio di recapito ed espletamento di serviziausiliari".

L'attività svolta dalle appaltatrici èpoi vincolata all'osservanza delle istruzioni impartite dalla società in qualitàdi titolare del trattamento. Facendo leva sull'assunto che "PosteItaliane in qualità di fornitore del servizio postale universale è tenuta agarantire ai cittadini le prestazioni richieste alla stessa societànell'espletamento del servizio postale, nonché ad assicurare standard di qualitàa vantaggio della clientela"(v. all. 6 alla nota 11 febbraio 2009), la società ha infatti risolto, aseguito dell'abbandono della corrispondenza affidata ad un'impresa appaltatriceil contratto che la legava a tale società poiché il comportamento posto inessere ha comportato la violazione "non solo [delle] norme poste a tutela della corrispondenzastessa e [de]gli obblighi diriservatezza a cui la ditta era tenuta ma [anche dei] formali impegni assunti nei confronti di Poste Italianeattraverso la sottoscrizione dell'accordo" (v. all. 6 alla nota 11 febbraio 2009).

3.3. La menzionata qualificazione intermini di distinto e autonomo "titolare del trattamento" delle società appaltatrici –con le conseguenzeche ciò comporta anche in termini di eventuale responsabilità civile neiconfronti degli interessati ai sensi dell'art. 15 del Codice– non risultaconforme ai sensi degli artt. 4, comma 1, lett. f) e g),28 e 29 del Codice.

Non può dubitarsi del fatto che, nelrispetto della disciplina di settore (art. 232, d.lg. 12 aprile 2006, n. 163 "Codicedei contratti pubblici relativi a lavori, servizi e forniture in attuazionedelle direttive 2004/17/CE e 2004/18/CE"), l'esternalizzazione da parte della società di compiti connessiall'espletamento del servizio postale (e dei connessi trattamenti finalizzatial recapito della corrispondenza) possa costituire una soluzione organizzativapienamente legittima anche in base alla disciplina di protezione dei datipersonali. Ciò, tuttavia, a condizione che la stessa trovi correttaapplicazione e più precisamente, con riguardo alla fattispecie qui esaminata, acondizione che le società appaltatrici –da individuarsi, in ogni caso,tra soggetti che "per esperienza, capacità ed affidabilità forniscanoidonea garanzia del pieno rispetto delle vigenti disposizioni in materia ditrattamento, ivi compreso il profilo relativo alla sicurezza" (art. 29, comma 2, del Codice)– sianopreviamente designate "responsabili del trattamento" ai sensi dell'art. 29 del Codice (in tal senso,peraltro, proprio con riferimento al trattamento dei dati effettuatonell'ambito del servizio Postel, cfr. già il parere reso dal Garante il 19dicembre 1998; v. pure Provv. 24 gennaio 2003; Provv.16 febbraio 2006).

Nel caso in esame, infatti, solo in capoa Poste italiane è corretto fare riferimento alla figura di "titolare deltrattamento", atteso che solo detta società ha il potere di:

a. assumere decisioni relative alle finalità del trattamento, consistentenel dare attuazione ai compiti connessi all'esecuzione del servizio postaleuniversale (del quale è unica concessionaria). Ciò risulta chiaramente dalmenzionato "accordo quadro" che delimita analiticamente, precisandone i compiti, le attività chelegittimamente possono essere effettuate dalle società appaltatrici operantinell'interesse di Poste italiane, e dalle prescrizioni contrattuali relativesia all'esecuzione del servizio di distribuzione e raccolta dellacorrispondenza, sia all'espletamento di servizi ausiliari (v., in particolare,art. 1, parte B1 degli allegati tecnici ai relativi accordi quadro);

b. impartire istruzioni edirettive vincolanti nei confrontidelle società appaltatrici, come emerge dalle istruzioni impartite per dareattuazione al servizio postale affidato in appalto (art. 4 parte B1 e artt. 6 e7 parte B2 degli allegati tecnici cit.) e sostanzialmente corrispondenti alleistruzioni che il titolare del trattamento deve impartire al responsabile;

c. svolgere funzioni di controllo rispetto all'operato delle medesime e degliincaricati delle stesse, come risulta dalle analitiche previsione dellamenzionata "procedura interna" relativa alle attività di controllo(v. all. 5, nota 11 febbraio 2009).

3.4. Peraltro, ove le societàappaltatrici dovessero operare quali autentici "titolari deltrattamento", Poste italiane potrebbe vedersi costretta ad acquisire (aisensi dell'art. 23 del Codice, non potendo trovare applicazione i presuppostidi liceità indicati all'art. 24 del Codice) il consenso degli interessati perla comunicazione di dati personali relativi ai propri clienti –attivitàdi impossibile attuazione– e l'informativa da rendere in base all'art. 13del Codice alla clientela dovrebbe anche fare riferimento a tale circostanza:del che non vi sono elementi in atti.

Alla luce di tali considerazioni, al finedi rendere conformi alle disposizioni vigenti in materia di protezione dei datipersonali i trattamenti effettuati nell'ambito dell'attività di recapito dellacorrispondenza, il Garante, ai sensi dell'art. 154, comma 1, lett. c), delCodice, prescrive a Poste italiane s.p.a. di designare le società appaltatrici"responsabili del trattamento" ai sensi degli artt. 4, comma 1, lett.g) e 29, commi 4 e 5 del Codice.

TUTTO CIÒ PREMESSO, ILGARANTE

ai sensi dell'art. 154, comma 1, lett. c), del Codice, prescrive a Poste italiane s.p.a. didesignare le società appaltatrici "responsabili del trattamento" aisensi degli artt. 4, comma 1, lett. g) e 29, commi 4 e 5 del Codice.

Roma, 29 aprile 2009